Fortinet критикува Rapid7 за разкриване на уязвимост преди края на 90-дневния прозорец

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Спор избухна във вторник след компанията за киберсигурност Rapid7 пусна доклад за уязвимост в продукт на Fortinet, преди компанията да има време да пусне кръпка за решаване на проблема.

Rapid7 каза, че един от неговите изследователи, Уилям Ву, е открил уязвимост при инжектиране на операционна система във версия 6.3.11 и по -ранна от интерфейса за управление на FortiWeb. Уязвимостта позволява на отдалечени, удостоверени нападатели да изпълняват произволни команди в системата чрез конфигурационната страница на SAML сървъра.

Rapid7 заяви, че уязвимостта е свързана с CVE-2021-22123, който беше адресиран във FG-IR-20-120. Компанията добави, че при липса на корекция, потребителите трябва да „деактивират интерфейса за управление на устройството FortiWeb от ненадеждни мрежи, което би включвало и интернет“.

Докладът включва график, според който Rapid7 се е свързал с Fortinet относно уязвимостта през юни и е бил признат от Fortinet до 11 юни. Rapid7 твърди, че никога повече не са чували от Fortinet, докато не публикуват публично доклада във вторник.

Говорител на Fortinet се свърза със ZDNet след публикуването на историята за тази уязвимост, за да критикува Rapid7 за нарушаване на условията на споразумението им за разкриване. Fortinet заяви, че има ясна политика за оповестяване Страница с политиката на PSIRT което включва „молене на подателите на инциденти да спазват строга поверителност, докато за клиентите не са налице пълни решения“.

„Очаквахме Rapid7 да запази някакви констатации преди края на нашия 90-дневен прозорец за отговорно разкриване. Съжаляваме, че в този случай отделните изследвания бяха напълно разкрити без адекватно уведомяване преди 90-дневния прозорец “, каза говорителят на Fortinet, добавяйки, че те често работят в тясно сътрудничество с изследователи и доставчици по киберсигурността.

„Работим, за да доставим незабавно известие за заобиколно решение на клиентите и корекция, пусната до края на седмицата.“

Fortinet не отговори на последващи въпроси относно пластира за уязвимостта.

Rapid7 актуализира доклада си, като казва, че Fortiweb 6.4.1 ще бъде пуснат в края на август и ще има поправка за уязвимостта.

Тод Биърдсли, директор на изследванията в Rapid7, заяви пред ZDNet, че тяхната политика за разкриване на уязвимости очертава 60-дневен минимум за разкриване на уязвимости след първоначални опити за контакт.

“В този случай първоначалното разкриване беше представено на Fortinet на 10 юни, а билет на доставчик беше получен на 11 юни, според нашия доклад за разкриване. Ние направихме няколко последващи опита с Fortinet след тази първоначална комуникация и за съжаление не получихме отговор след 66 дни “, обясни Бърдсли.

“Нямаше нарушение на политиките за разкриване. Малко след публикуването на разкритието, ние се свързахме с Fortinet и те посочиха, че ще пуснат корекция. След като тази корекция бъде пусната, ще актуализираме разкриването си с тази връзка и CVE ID. ”

Beardsley добави, че няма индикации, че уязвимостта е била използвана, така че разкриването на Rapid7 „трябва да се чете като предупреждение за потребителите на FortiWeb на Fortinet“.

Той повтори, че потребителите на FortiWeb не трябва да излагат своя интерфейс за управление на интернет като цяло и трябва да се уверят, че хората с идентификационни данни за удостоверяване избират солидни, надеждни пароли.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •